Todd Miller Sudo本地竞争条件漏洞 CVE-2005-1993 CNNVD-200506-193

3.7 AV AC AU C I A
发布: 2005-06-20
修订: 2018-10-19

Sudo是软件开发者Todd C. Miller所研发的一套用于类Unix操作系统下并允许用户通过安全的方式使用特殊的权限执行命令的程序。 Sudo中存在本地竞争条件漏洞,这个漏洞允许拥有Sudo权限的用户执行任意命令。 用户在通过Sudo运行命令时,会将命令的inode和设备数目与sudoers文件中相同基名(basename)命令的inode和设备数目做比较。如果找到了匹配的话,就将sudoers文件中列出的匹配命令的路径存储在safe_cmnd变量中,然后用于执行命令。由于实际的执行路径来自于sudoers文件而不是直接来自用户,因此Sudo不会受到有关符号链接的竞争条件的影响。但是,如果包含有伪命令ALL的sudoers条目紧随用户的sudoers条目之后的话,就可能用命令行中指定的路径覆盖safe_cmnd的内容,导致竞争条件。

0%
当前有1条漏洞利用/PoC
当前有29条受影响产品信息